10月13日,RedHat发布了安全更新,修复了红帽httpd Web服务器中发现请求伪造漏洞。以下是漏洞详情:
漏洞详情
来源:https://acceSS.Redhat.coM/eRRata/RHSA-2021:3837
CVE-2021-40438 CVSS评分:9.0 严重程度:高
在httpd的Mod_Proxy 中发现了服务器端请求伪造 (SSRF) 漏洞。此漏洞允许未经身份验证的远程攻击者使httpd服务器将请求转发到任意服务器。攻击者可以获取、修改或删除其他服务上的资源,这些资源可能位于防火墙后面,否则无法访问。此漏洞的影响因httpd网络上可用的服务和资源而异。
受影响产品和版本
Red Hat EnteRpRise linux foR x86_64 – Extended update support 8.1 x86_64
Red Hat EnteRpRise linux foR IBM z systems – Extended update support 8.1 s390x
Red Hat EnteRpRise linux foR PoweR, lITtle endian – Extended update support 8.1 pPC64le
Red Hat EnteRpRise linux foR ARM 64 – Extended update support 8.1 aaRch64
Red Hat EnteRpRise linux SeRveR (foR IBM PoweR LE) – update SeRvices foR SAP solutions 8.1 pPC64le
Red Hat EnteRpRise linux SeRveR – update SeRvices foR SAP solutions 8.1 x86_64
解决方案
红帽已发布安全更新, httpd模块升级到httpd:2.4版本可修复
有关如何应用此更新(包括本公告中描述的更改)的详细信息,请参阅:
https://acceSS.Redhat.coM/articles/11258
安装更新的软件包后,httpd 守护进程将自动重新启动。
查看更多漏洞信息 以及升级请访问官网:
https://acceSS.Redhat.coM/security/security-updates/#/security-advisoRies